25C3: ePass-Konzept wird an der Umsetzung scheitern

Wenn voraussichtlich am 1. November 2010 die ersten Bundesbürger ihren neuen Personalausweis ausgehändigt bekommen, ändert sich einiges. Das Auffälligste ist das Format, es wird dem einer klassischen Kreditkarte entsprechen. Eine weitere Änderung ist der Chip, der im elektronischen Personalausweis, kurz ePass oder ePA, eingebaut wird. Dieser wird, wie schon beim elektronischen Reisepass, drahtlos arbeiten. Statt eines Magnetstreifens steckt also wieder RFID-Technik unter der ePass-Hülle.

Laut Constanze Kurz und Starbug, die auf dem 25C3 einen Vortrag zu dem Thema hielten, hat das Bundesministerium des Inneren (BMI) somit die schlechtere Wahl aus beiden Welten genutzt. Der Ausweis ist so klein, dass es Schwierigkeiten gibt, die vielen aufgedruckten Informationen überhaupt unterzubringen. Der kontaktlosen Datenübertragung stand der Chaos Computer Club (CCC) ohnehin schon immer kritisch gegenüber.

Der CCC glaubt, dass der neue Ausweis trotz der hohen Kosten keinen Gewinn an Sicherheit bringen wird. Das BMI ist da anderer Meinung und stellt unter anderem heraus, dass dieser Ausweis gerade im Internetzeitalter sinnvoll ist. Er soll unter anderem vor Phishing-Attacken schützen und den sicheren Einkauf und damit verbunden die kontrollierte Weitergabe der eigenen Daten erlauben.

Der neue ePass kommt auch mit einem PIN-Konzept. Wie bei einer Karte für den Geldautomaten muss diese PIN gegebenenfalls angegeben werden, um weitere Informationen freizuschalten. Der Clou: Damit der Nutzer gegenüber Ordnungskräften nicht behaupten kann, er habe die PIN vergessen, wird zumindest eine dieser Geheimnummern auf den ePass aufgedruckt. Die PIN für die Internetidentität ist davon aber nicht betroffen - und sechsstellig. Hier rechnen Kurz und Starbug mit einigen Problemen, da schon vierstellige PINs leicht vergessen werden.